Размещено 23.09.2015 09:53:43
пока выполните последние рекомендации по очистке в frst
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
http://forum.esetnod32.ru/forum9/topic2687/
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
[ Закрыто] Оперативная память = winlogon.exe(764) - модифицированный Win32/Dorkbot.B червь - очистка невозможна, Вирус в оперативной памяти
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
Размещено 23.09.2015 09:00:19
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[QUOTE]CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\Мария\AppData\Roaming\Opera Software\Opera Stable\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2015-07-02]
EmptyTemp:
Reboot:
[/QUOTE]
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[QUOTE]CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\Мария\AppData\Roaming\Opera Software\Opera Stable\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2015-07-02]
EmptyTemp:
Reboot:
[/QUOTE]
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки - 2
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Проблема с иконками рабочего стола, Значки Раб.Ст. автоматически меняют расположение после нажатия обновить
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 22.09.2015 17:50:13
упорный попался юрист.
раз 12 пробовал открыть документ из архива.
надо добавлять политики ограниченного запуска исполняемых программ из архивов.
надежды мало на внимательность менеджеров при работе с почтой.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 4A68F1DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6
zoo %SystemDrive%\TEMP\RAR$EX02.443\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.122\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.027\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.152\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.448\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.463\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.306\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.305\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.304\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.288\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.334\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.459\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deltmp
delnfr
czoo
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
раз 12 пробовал открыть документ из архива.
надо добавлять политики ограниченного запуска исполняемых программ из архивов.
надежды мало на внимательность менеджеров при работе с почтой.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 4A68F1DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6
zoo %SystemDrive%\TEMP\RAR$EX02.443\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.122\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.027\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX00.152\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.448\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.463\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.306\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.305\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.304\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX01.288\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.334\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
zoo %SystemDrive%\TEMP\RAR$EX02.459\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deltmp
delnfr
czoo
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки
Размещено 22.09.2015 16:04:52
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1A304F9A5583348CF42B254E3143FE8E6082AA7D783C5974854605C9333E
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWS LIVE\XGYDARQYWG.EXE
addsgn 1A114C9A5583348CF42B254E3143FE84C9A2FFF68959C72FC0C34CB18481
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\WINDOWS\THEMES\UZYMYG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWSUPDATE\UPDATER.EXE
chklst
delvir
; storegid
exec C:\Documents and Settings\Admin\Local Settings\Application Data\storegid\uninstall.exe
; WebSecurity Extension version 16.40
exec C:\Program Files\Microsoft Data\unins000.exe
; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1A304F9A5583348CF42B254E3143FE8E6082AA7D783C5974854605C9333E
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWS LIVE\XGYDARQYWG.EXE
addsgn 1A114C9A5583348CF42B254E3143FE84C9A2FFF68959C72FC0C34CB18481
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\WINDOWS\THEMES\UZYMYG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\WINDOWSUPDATE\UPDATER.EXE
chklst
delvir
; storegid
exec C:\Documents and Settings\Admin\Local Settings\Application Data\storegid\uninstall.exe
; WebSecurity Extension version 16.40
exec C:\Program Files\Microsoft Data\unins000.exe
; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Закрыто] помогите одолеть вирус, компьютер заражает флешки, создавая ярлыки
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl